洛阳师范学院2013届本科生毕业设计
题。
分析:IPsec VPN技术通过隧道技术、加解密技术、密钥管理技术、认证技术等有效地保证了数据在Internet传输的安全性,是目前最安全、使用最广泛的VPN技术。因此我们可以通过建立IPsec VPN的加密隧道,实现分公司和总公司之间的安全的数据传输。 2.模拟拓扑
如图所示网络拓扑,通过Internet进行数据传输的安全问题。太原分公司要远程访问总公司的各种网络资源,需要在Internet上传输数据,这家公司通过在路由器上配置站点到站点(Site-to-Site)的IPsec VPN隧道技术,实现数据在Internet上的安全传输。
图6-3 公司IPSEC-VPN网络实验模拟拓扑图
3.模拟原理
IPsec(IP security,IP安全性)的主要作用是为IP数据通信提供安全服务。IPsec不是一个单独协议,它是一套完整的体系框架,包括AH、ESP和IKE三个协议。IPsec使用了多种加密算法、散列算法、密钥交换方法等为IP数据流提供安全性,它可以提供数据的机密性、数据的完整性、数据源认证和反重放等安全服务。
6.2.2 IPSEC VPN基本配置
1.配置Internet路由器R3 R3#configure terminal
R3(config)#interface fastEthernet 1/0
R3(config-if)#ip address 1.1.1.2 255.255.255.252 R3(config-if)#exit
R3(config)#interface fastEthernet 1/1
R3(config-if)#ip address 2.2.2.2 255.255.255.252 R3(config-if)#exit
2.配置R1与R2的Internet连通性 R1#configure terminal
R1(config)#interface fastEthernet 1/0
26
黛蓝公司VPN网络方案设计与分析
R1(config-if)#ip address 1.1.1.1 255.255.255.252 R1(config-if)#exit
R1(config)#interface fastEthernet 1/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
R2#configure terminal
R2(config)#interface fastEthernet 1/1
R2(config-if)#ip address 2.2.2.1 255.255.255.252 R2(config-if)#exit
R2(config)#interface fastEthernet 1/0
R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.2
3.配置R1的IKE参数
R1(config)#crypto isakmp policy 1 !创建IKE策略 R1(isakmp-policy)#encryption 3des !使用3DES加密算法
R1(isakmp-policy)#authentication pre-share !使用预共享密钥验证方式 R1(isakmp-policy)#hash sha !使用SHA-1算列算法 R1(isakmp-policy)#group 2 !使用DH组2 R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 0 1234567 address 2.2.2.1 !配置预共享密钥 4.配置R1的IPsec参数
R1(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac !配置IPsec转换集,使用ESP协议,3DES算法和SHA-1散列算法 R1(cfg-crypto-trans)#exit
R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 !配置加密访问控制列表 R1(config)#crypto map to_r2 1 ipsec-isakmp !配置IPsec加密映射 R1(config-crypto-map)#match address 100 !引用加密访问控制列表 R1(config-crypto-map)#set transform-set 3des_sha !引用IPsec转换集 R1(config-crypto-map)#set peer 2.2.2.1 !配置IPsec对等体地址 R1(config-crypto-map)#exit
R1(config)#interface fastEthernet1/0
R1(config-if)#crypto map to_r2 !将IPsec加密映射应用到接口 R1(config-if)#exit
5.配置R2的IKE参数
R2(config)#crypto isakmp policy 1 R2(isakmp-policy)#encryption 3des
R2(isakmp-policy)#authentication pre-share R2(isakmp-policy)#hash sha
27
洛阳师范学院2013届本科生毕业设计
R2(isakmp-policy)#group 2 R2(isakmp-policy)#exit
R2(config)#crypto isakmp key 0 1234567 address 1.1.1.1
6.配置R2的IPsec参数
R2(config)#crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac R2(cfg-crypto-trans)#exit
R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R2(config)#crypto map to_r1 1 ipsec-isakmp R2(config-crypto-map)#match address 100
R2(config-crypto-map)#set transform-set 3des_sha R2(config-crypto-map)#set peer 1.1.1.1 R2(config-crypto-map)#exit
R2(config)#interface fastEthernet1/0 R2(config-if)#crypto map to_r1 R2(config-if)#exit
7.配置PC1和PC2
PC1的IP地址为192.168.1.2,网关为192.168.1.1 PC2的IP地址为192.168.2.2,网关为192.168.2.1
8.验证测试
在PC1上ping PC2,可以ping通。由于第一个报文用于触发IKE协商并建立IPsec隧道,所以第一个ping包会由于超时而未得到响应。
查看R1的IKE SA,可以看到IKE SA协商成功,状态为QM_IDLE: R1#show crypto isakmp sa
destination source state conn-id lifetime(second)
2.2.2.1 1.1.1.1 QM_IDLE 33 85896 31c961f99129c159 009f3edd7c1bba59
查看R1的IPsec SA,可以看到两个IPsec SA协商成功,一个用于入站报文,一
个用于出站报文:
R1#show crypto ipsec sa
Interface: FastEthernet 1/0
Crypto map tag:to_r2, local addr 1.1.1.1 media mtu 1500
================================== item type:static, seqno:1, id=32
local ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) remote ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0))
28
黛蓝公司VPN网络方案设计与分析
PERMIT
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 #send errors 0, #recv errors 0
Inbound esp sas:
spi:0x30098aa2 (805931682)
transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r2 1
sa timing: remaining key lifetime (k/sec): (4606999/2933) IV size: 8 bytes
Replay detection support:Y
Outbound esp sas:
spi:0x1e1e0b3f (505285439)
transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r2 1
sa timing: remaining key lifetime (k/sec): (4606999/2933) IV size: 8 bytes
Replay detection support:Y
查看R2的IKE SA,可以看到IKE SA协商成功,状态为QM_IDLE:
R2#show crypto isakmp sa
destination source state conn-id lifetime(second)
2.2.2.1 1.1.1.1 QM_IDLE 33 85618 31c961f99129c159 009f3edd7c1bba59
查看R2的IPsec SA,可以看到两个IPsec SA协商成功,一个用于入站报文,一个用于出站报文:
R2#show crypto ipsec sa Interface: FastEthernet 1/1
Crypto map tag:to_r1, local addr 2.2.2.1 media mtu 1500
================================== item type:static, seqno:1, id=32
local ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0)) remote ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0)) PERMIT
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3
29
洛阳师范学院2013届本科生毕业设计
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 #send errors 0, #recv errors 0
Inbound esp sas:
spi:0x1e1e0b3f (505285439)
transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r1 1
sa timing: remaining key lifetime (k/sec): (4607999/2785) IV size: 8 bytes
Replay detection support:Y
Outbound esp sas:
spi:0x30098aa2 (805931682)
transform: esp-3des esp-sha-hmac in use settings={Tunnel,} crypto map to_r1 1
sa timing: remaining key lifetime (k/sec): (4607999/2785) IV size: 8 bytes
Replay detection support:Y
通过以上状态信息可以看出,R1与R2成功协商了一个IKE SA和两个IPsec SA(每个方向各一个)。
6.3 SSL VPN建设
6.3.1 SSL VPN部署
如下图所示:SSL VPN可以让移动用户,固定用户以及小型SOHO家庭用户登录,根据该公司网络实际情况,充分考虑了各种因素,提出了将SSL VPN网关架设在防火墙上,也就是cisco ASA5580上。只要用户能上网,就能访问到SSL网关,也就是ASA5580。ASA5580完全能满足SSL VPN的部署需求,百万的连接数,5000M的网络吞吐能力,加上强大的处理器内存等硬件设施,完全能满足企业SSL VPN网关部署需求。
30